이 문서에서는 아티팩트 분석이 취약점을 평가하고 심각도 수준을 할당하는 방법을 설명합니다.
Artifact Analysis는 다음 수준을 사용하여 취약점 심각도를 평가합니다.
심각
높음
보통
낮음
이러한 심각도 수준은 취약점의 악용 가능성, 범위, 영향, 성숙도와 같은 요소를 반영하는 정성적 라벨입니다. 예를 들어 원격 사용자가 시스템에 액세스하여 인증 또는 사용자 상호작용 없이 임의의 코드를 실행할 수 있는 취약점이 있다면 이 취약점은 Critical로 분류됩니다.
각 취약점에는 두 가지 추가 심각도가 연결되어 있습니다.
유효 심각도 - 취약점 유형에 따라 다음과 같습니다.
OS 패키지 - Linux 배포판 유지관리자가 할당한 심각도 수준입니다. 이러한 심각도 수준을 사용할 수 없는 경우 아티팩트 분석은 메모 제공업체(NVD)의 심각도 값을 사용합니다. NVD의 CVSS v2 등급을 사용할 수 없는 경우 Artifact Analysis는 NVD의 CVSS v3 등급을 사용합니다.
언어 패키지 - GitHub Advisory Database에서 할당한 심각도 수준으로, 약간의 차이가 있습니다. Moderate(보통)는 Medium(중간)으로 보고됩니다.
CVSS 점수 - Common Vulnerability Scoring System 점수 및 관련 심각도 수준으로, 다음 두 가지 점수 버전이 있습니다.
CVSS 2.0 - API, Google Cloud CLI, GUI를 사용할 때 사용할 수 있습니다.
